databeskyttelsesloven i STORBRITANNIA har endret seg som følge Av Brexit. Du finner den nyeste veiledningen her.
under General Data Protection Regulation (GDPR), må organisasjoner opprette en dataoppbevaringspolicy for å hjelpe dem med å administrere måten de håndterer personlig informasjon på.
hvis du beholder sensitive data for lenge – selv om de holdes sikkert og ikke blir misbrukt – kan Du fortsatt bryte Forskriftens krav.
det kan høres altfor strenge, men det er en god grunn til det. I denne bloggen forklarer vi hvorfor det er tilfelle, hvordan dataoppbevaringspolicyer fungerer og hvordan du kan opprette en i tråd med GDPR-kravene.
Hva er en dataoppbevaringspolicy?
en dataoppbevaringspolicy er et sett med retningslinjer som hjelper organisasjoner med å holde oversikt over hvor lenge informasjonen må oppbevares og hvordan de kan kvitte seg med informasjonen når den ikke lenger er nødvendig.
retningslinjene bør også skissere formålet med behandlingen av personopplysningene. Dette sikrer at du har dokumentert bevis som rettferdiggjør dine dataoppbevarings-og avhendingsperioder.
Mål og mål
hvis du tenker tilbake på panikken som gikk forut FOR GDPR, har du en perfekt god forståelse av hvorfor datalagringsperioder er avgjørende.
Organisasjoner som ikke hadde samhandlet med oss på mange år, kom ut av treverket for å be om vårt samtykke til å beholde våre data.
Det viste hvor ofte våre poster sitter i organisasjonens databaser lenge etter at vi er ferdig med å bruke tjenestene deres.
organisasjonen ønsker ikke å kvitte seg med informasjonen, fordi det koster praktisk talt ingenting å lagre kundedetaljer, men å holde det unødvendig utsetter det for sikkerhetstrusler.
det tar bare ett stykke uflaks for en organisasjons systemer å bli brutt, enten det er et cyberangrep eller en intern feil.
så, for å begrense skaden som databrudd kan forårsake, regulatorer mandat AT EU-baserte organisasjoner må beholde personopplysninger bare hvis det er en legitim grunn til å beholde den.
Hvor lenge kan personopplysninger lagres?
TIL tross for den tilsynelatende strengheten I GDPR ‘ s datalagringsperioder, er det ingen regler om lagringsbegrensning.
Organisasjoner kan i stedet sette sine egne frister basert på de grunner de ønsker. Det eneste kravet er at organisasjonen må dokumentere og begrunne hvorfor den har satt tidsrammen den har.
beslutningen bør være basert på to nøkkelfaktorer: formålet med behandlingen av dataene, og eventuelle regulatoriske eller juridiske krav for å beholde dem.
Data bør ikke oppbevares lenger enn nødvendig, og Bør ikke oppbevares ‘bare i tilfelle’ du har behov for det i fremtiden.
så lenge et av formålene fortsatt gjelder, kan du fortsette å lagre dataene.
du bør også vurdere dine juridiske og regulatoriske krav for å beholde data. For eksempel, når dataene er gjenstand for skatt og revisjoner, eller for å overholde definerte standarder, vil det være retningslinjer for datalagring du må følge.
du kan planlegge hvordan dataene dine skal brukes og om det vil være nødvendig for fremtidig bruk ved å opprette et dataflytkart. Denne prosessen er også nyttig når det gjelder å finne data og fjerne den når oppbevaringsperioden utløper.
det er to måter du kan unngå dataoppbevaringsfrister på. Den første er ved å anonymisere data; dette betyr at informasjonen ikke kan kobles til et identifiserbart datasubjekt.
HVIS dataene dine er anonymisert, TILLATER GDPR deg å beholde dem så lenge du vil.
du bør imidlertid være forsiktig når du gjør dette. Hvis informasjonen kan brukes sammen med annen informasjon organisasjonen har for å identifisere en person, er den ikke tilstrekkelig anonymisert.
du kan også omgå dataoppbevaringsfrister hvis informasjonen holdes for arkiveringsformål i offentlig interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål.
hva du skal gjøre med data etter oppbevaringsperioden
du har to alternativer når fristen for oppbevaring av data utløper: slett den eller anonymiser den.
hvis du velger å slette dataene, må du sørge for at alle kopier er kassert. For å gjøre dette må du finne ut hvor dataene er lagret. Er det en digital fil, papirkopi eller begge deler?
det er enkelt å slette papirkopidata, men digitale data etterlater ofte spor og kopier kan ligge i glemte filservere og databaser.
for å overholde GDPR må du sette dataene utenfor bruk. Alle kopier av dataene skal fjernes fra live-og back-up-systemer.
slik oppretter du en policy for datalagring
policyen for datalagring bør være en del av den generelle dokumentasjonsprosessen for informasjonssikkerhet.
det første trinnet er å få et fullstendig bilde av nøyaktig hvilke data du behandler, hva de brukes til og hvilke regler som gjelder for virksomheten din.
disse forskriftene inkluderer, MEN er ikke nødvendigvis begrenset TIL, GDPR. Hvis du for eksempel behandler enkeltpersoners debet – eller kredittkortinformasjon, kan DU være underlagt PCI Dss (Payment Card Industry Data Security Standard).
tilsvarende, hvis du har tenkt Å overholde ISO 27001, den internasjonale standarden som beskriver beste praksis for informasjonssikkerhet, må du ta hensyn til kravene.
disse samsvarskravene vil diktere hvilken informasjon som må inkluderes i policyen din og reglene den bør følge.
en enkel dataoppbevaringspolicy vil adressere:
- typene informasjon som dekkes i retningslinjene
Ulike typer informasjon vil være underlagt forskjellige regler, så du må holde oversikt over hvilke data du behandler – enten det er navn, adresser, kontaktinformasjon, økonomiske poster og så videre.
- Hvor lenge du har rett til å beholde informasjon
Klienter blir noen Ganger overrasket når VI forteller DEM AT GDPR ikke fastsetter bestemte frister for data som skal holdes. Hvor lenge du oppbevarer bestemte data, er en subjektiv beslutning for deg å ta basert på dine grunner for å behandle dataene.
- hva du bør gjøre med data når det ikke lenger er nødvendig
Regelmessig sletting av unødvendige data reduserer også mengden data du trenger å sile gjennom for å overholde tilgangsforespørsler. Det reduserer også kostnadene ved lagring og dokumenthåndtering.
Gjennom retningslinjene for datalagring kan du regelmessig rense huset og fjerne dupliserte og utdaterte filer for å unngå forvirring og fremskynde eventuelle nødvendige søk.
Prøv vår dataoppbevaringspolicy mal
Å Lage en dataoppbevaringspolicy kan virke som en skremmende oppgave, men MED VÅR GDPR-Verktøykasse er prosessen enkel.
den inneholder alt du trenger for å overholde Forskriften, inkludert EN gdpr-mal for datalagring SOM britiske organisasjoner kan bruke til å formalisere din tilnærming til overholdelse, samtidig som du sparer tid og penger.
dette verktøysettet inneholder også:
- Et Gap Analyseverktøy som du kan bruke til å måle din generelle etterlevelse praksis;
- Veiledning om hvordan du fullfører dine dokumentasjonskrav, med maler på pseudonymisering, minimering og kryptering, for å nevne noen;
- en roller og ansvar matrise for å hjelpe deg å forstå hvem som overvåker visse oppgaver og funksjoner.
en versjon av denne bloggen ble opprinnelig publisert 12. November 2018.